虚拟化数据恢复—XenServer虚拟机虚拟磁盘文件丢失的数据恢复案例

虚拟化环境：

某品牌720服务器中有一组通过型号为H710P的RAID卡+4块STAT硬盘组建的RAID10，上层部署Xen Server服务器虚拟化平台。虚拟机安装的Windows Server系统，运行Web服务器。有系统盘 + 数据盘两个虚拟机磁盘。

虚拟化故障：
机房断电导致XenServer服务器中一台VPS（XenServer虚拟机）不可用，虚拟磁盘文件丢失。

虚拟化数据恢复过程：
1、将故障服务器中的硬盘编号后取出，挂接到准备好的数据恢复服务器上。以只读方式将所有硬盘做完整镜像，镜像完成后将所有硬盘根据编号按照原样还原到原服务器上。后续的数据分析和数据恢复操作都基于镜像文件进行，避免对原始磁盘数据造成二次破坏。
2、基于镜像文件分析所有硬盘底层数据，发现服务器中虚拟机的磁盘是通过LVM来管理的，即每个虚拟机的虚拟磁盘都是一个LV，虚拟磁盘采用精简模式。LVM的相关信息记载在Xen Server中，查看LVM的相关信息发现并没有存在损坏的虚拟磁盘信息，因此可以断定LVM的信息已经被更新了。接着分析底层看能否找到未被更新的LVM信息，果不其然在底层发现了还未更新的LVM信息。

3、北亚企安数据恢复工程师根据未被更新的LVM信息找到虚拟磁盘的数据区域，发现该区域的数据已被破坏。分析后发现虚拟机的虚拟磁盘被破坏导致虚拟机中的操作系统和数据丢失。仔细核对这片区域后发现很多数据库的页碎片。
经过会诊，北亚企安数据恢复工程师确定了2套数据恢复方案。
4、数据恢复方案一：
根据RAR压缩包的结构找到压缩包的数据开始位置，RAR压缩包文件的第一个扇区中会记录此RAR的文件名。根据从用户方获取到的备份数据库的压缩包文件名和找到的压缩包的文件名相匹配，即可找到备份数据库压缩包的开始位置。找到压缩包的位置后仔细分析这片区域的数据，然后将此区域的数据恢复出来重命名为一个RAR格式的压缩文件。尝试解压此压缩包，结果报错。

仔细分析恢复出来的压缩包，发现中部分数据被破坏了，因此解压报错。尝试使用RAR修复工具进行修复。修复完成之后解压，解压的数据中只发现网站的部分代码，并没有发现数据库。可以判断备份文件损坏。
解压出来的部分网站代码：

5、数据恢复方案二：
由于方案一无法将数据库恢复出来，因此采用方案二恢复数据。
根据SQL Server数据库的结构去底层分析数据库的开始位置。在SQL Server数据库的结构中，第9个页会记录本数据库的数据库名。因此，获取到数据库的名称之后，通过分析底层找到数据库的开始位置。
在SQL Server数据库的每个页中都会记录数据库页编号以及文件号。北亚企安数据恢复工程师根据SQL Server数据库的这些特征编写程序在底层扫描符合数据库页的数据。
将扫描出来的碎片按顺序重组成一个完整MDF文件。通过MDF校验程序检测MDF文件的完整性。
重建的MDF文件：

6、检测没有问题后，搭建数据库环境，并将重组后的数据库附加到搭建好的数据库环境中。查询相关表数据是否正常，以及最新数据是否存在。

7、由于需要结合网站代码才能更好的验证数据库的完整性。搭建好了网站之后，将恢复出来的数据库发给用户方。经过用户验证后，数据库没有问题。数据恢复工作完成。